Что: c4221054cd798c35cb16fe005dbfd3b3734a2e5d
Когда: 2020-03-16 10:44:48+03:00
Темы: ipsec tip
Отключение переаутентификации в strongSwan В IKEv1 протоколе есть штатная поддержка переаутентификации в пределах текущей сессии. В IKEv2 нету -- RFC предлагает просто создавать параллельно ещё одну IKE SA. На практике, при использовании PSK или X.509 сертификатов с приватными ключами на диске, я не знаю как можно скомпрометировать SA, но не скомпрометировать аутентификационные данные. Поэтому отключение reauth не представляет, как я это вижу, рисков (если речь не про смарт-карты, PKCS#11, и т.д.), а плюсом является то, что у меня вот уже длительное время нет ни одного лишнего IKE SA, которые часто бывают плодятся.
Сгенерирован: SGBlog 0.34.0